SonicWall製品に潜む脆弱性が、ランサムウェア活動のアクセスポイントになっている:Cybersecurity Dive
Arctic Wolf Labsの研究者によると2024年8月以降、SonicWallのファイアウォール製品は少なくとも30件のランサムウェア攻撃における初期のアクセスポイントになったという。
Arctic Wolf Labsのセキュリティ研究者は2024年10月24日(現地時間、以下同)、SonicWallのファイアウォール製品を使用している30以上の組織がランサムウェアの攻撃を受けたと発表した(注1)。これらの被害は、ベンダーが2カ月前に修正を発表した重大な脆弱(ぜいじゃく)性のあるファームウェアを実行している間に起きたという。
SonicWallの脆弱性は「30万台以上の機器と数千の顧客に影響を与える」
SonicWallは2024年8月22日、不適切なアクセス制御に関連する脆弱性「CVE-2024-40766」を公開してパッチを適用した(注2)(注3)。共通脆弱性評価システム(CVSS)における同脆弱性のスコアは9.3だ。
Arctic Wolf Labsによると、SonicWallのファイアウォールに影響するSSL VPNの機能に関連したランサムウェア「Akira」および「Fog」の亜種の侵入を同年8月初旬から観測し始めたという。
SonicWallのグローバルパブリックリレーションズのブレット・フィッツジェラルド氏(シニアディレクター)は2024年10月24日に電子メールで次のように述べた。
「私たちは2024年8月以降、試験的な侵入に一致する活動の増加を観察している。通常、これらの活動は営業時間外に発生している」
広範囲にわたる組織が追加で被害を受ける可能性がある。SonicWallのファイアウォールを駆動するソフトウェアである「SonicOS」の重大な脆弱性にパッチを適用していない同社の顧客にも潜在的なリスクは及んでいる。
「CVEで説明されている脆弱性は、サポート下にある30万台以上の機器に影響を与えている。その結果、数千の組織が影響を受ける可能性がある。SonicWall Gen 7の新しいデバイスを使用している顧客の約半数がファームウェアをアップグレードし、Gen 6.5およびそれ以前のユニットを使用している顧客の約30%がソフトウェアアップデートによって脆弱性を修正した」(フィッツジェラルド氏)
Arctic Wolfでデジタルフォレンジックインシデントレスポンスを担当するケリー・シェイファー=ページ氏(バイスプレジデント)は、2024年10月24日に電子メールで次のように述べた。
「これらの攻撃に関連している脅威グループは、広範囲にわたるさまざまな規模の産業や組織を狙っている」
SonicWallは、特定の種類の組織や産業が狙われていることを示唆するパターンを認識していないと付け加えた。
攻撃者は、攻撃の一環としてデータを暗号化し盗んだ。Arctic Wolfによると、あるケースでは人事部門と経理部門から最大30カ月分の機密情報が盗まれたという。暗号化の際、攻撃者は仮想マシンとそのバックアップのストレージに焦点を当てていた。
Arctic Wolfによると、ランサムウェアによる初期的なアクセスから暗号化までの時間は90分〜10時間の範囲だったという。
Arctic Wolfが観察した攻撃の4件に3件でランサムウェア「Akira」が使用され、残りの攻撃でランサムウェア「Fog」が使用された。
SonicWallは、顧客から共有された詳細情報や顧客に対するランサムウェア攻撃の情報を公表していない。フィッツジェラルド氏は「SonicWallは、観察された試験的な侵入活動に関連した運用の中断やデータ漏えい、身代金の要求や支払いを認識していない」と述べた。
Arctic Wolf Labsによると、侵入が脆弱性「CVE-2024-40766」に関連しているという決定的な証拠は観察されていないが、被害者の環境への初期アクセスにはSonicWallのセキュアソケットレイヤーVPNのアカウントが関与していたという。
Arctic Wolf Labsの研究者によると、これらの攻撃に関与した全てのSonicWallのデバイスは、脆弱性の影響を受けるバージョンのファームウェアを実行していた。
セキュリティ研究者は、ランサムウェア攻撃における初期的なアクセス経路として悪用する目的で、SonicWallのデバイス上のSSL VPNのアカウントがランサムウェアグループによって侵害される旨について2024年9月初旬に初めて警告した。
SonicWallは2024年8月に脆弱性を公表して以来、コールキャンペーンを開始し、パートナーや顧客に複数のセキュリティ情報を送信した。また、同社は「インシデント対応企業や政府機関、法執行機関とも情報を共有した」と述べている。
(注1)Arctic Wolf Labs Observes Increased Fog and Akira Ransomware Activity Linked to SonicWall SSL VPN(Arctic Wolf)
(注2)SonicWall firewall CVE exploits linked to ransomware attacks(Cybersecurity Dive)
(注3)CVE-2024-40766 Detail(NIST)
© Industry Dive. All rights reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。
Microsoft、全てのEntraテナントで多要素認証を必須に 先延ばしオプションは廃止
Microsoftは「Secure Future Initiative」の一環として多要素認証を全テナントでデフォルトで有効にし、セキュリティ基準を強化すると発表した。この変更に伴い14日間MFAの登録を先延ばしできた以前のオプションは廃止される。
イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。